Was sind Technische und Organisatorische Maßnahmen (TOM)?

# Was sind Technische und Organisatorische Maßnahmen (TOM)?

Technische und Organisatorische Maßnahmen (TOM) sind Sicherheitsvorkehrungen, die Unternehmen treffen müssen, um personenbezogene Daten zu schützen. Die DSGVO verlangt in Art. 32, dass Daten durch angemessene Maßnahmen gegen Verlust, Diebstahl und Missbrauch gesichert sind. Besonders im KI-Kontext 2026 ist das wichtig: Wer nutzt das Chatbot-Abo? Welche Daten landen in den KI-Prompts? TOM regeln genau das.

Kurze Antwort

TOM sind konkrete Maßnahmen zur Datensicherheit — Verschlüsselung, Passwörter, Mitarbeiterschulungen, Zugriffsrechte. Die DSGVO schreibt vor, dass jedes Unternehmen TOM dokumentiert, regelmäßig überprüft und an Risiken anpasst. Im KI-Einsatz heißt das: Richtlinien, welche Daten in KI-Tools dürfen, wer Zugriff hat, wie Verläufe gelöscht werden.

Definition

Technische und Organisatorische Maßnahmen sind nach Art. 32 DSGVO alle Vorkehrungen zum Schutz personenbezogener Daten. Sie unterscheiden sich in zwei Kategorien:

Technische Maßnahmen sichern die IT-Infrastruktur: Verschlüsselung (TLS, AES), Firewalls, Zugriffskontrolle, Authentifizierung (MFA), Protokollierung von Zugriffen, regelmäßige Backups, Systemupdates.

Organisatorische Maßnahmen regeln Menschen und Prozesse: Mitarbeiterschulungen zu Datenschutz, Datenzugriffs-Richtlinien (wer darf was), Verschwiegenheitserklärungen (NDAs), Prozesse für Datenpannen, Löschkonzepte, Rollenverteilung (wer ist Datenschutzverantwortlicher).

Das Wichtigste: TOM müssen verhältnismäßig zum Risiko sein. Ein Einzelunternehmen mit 2 Mitarbeitern braucht nicht die gleiche Infrastruktur wie ein Konzern mit 5000 Beschäftigten. Aber beide müssen dokumentieren, welche Maßnahmen sie ergreifen — und warum.

Welche TOM verlangt Art. 32 DSGVO?

Art. 32 DSGVO nennt keine feste Checkliste — er beschreibt Ziele und Beispielmaßnahmen. Die Angemessenheit richtet sich nach dem Risiko der jeweiligen Verarbeitung:

• Verschlüsselung von Daten bei Übertragung und Speicherung
• Pseudonymisierung wo möglich, um Personenbezug zu reduzieren
• Vertraulichkeit und Integrität: Schutz vor unbefugtem Zugriff und Manipulation
• Verfügbarkeit und Belastbarkeit: Systeme müssen ausfallsicher sein
• Wiederherstellbarkeit: Backups und Notfallpläne für den Datenverlustfall

Wichtig: Die DSGVO gibt bewusst keine einheitliche TOM-Liste vor. Welche Maßnahmen angemessen sind, hängt vom Risiko der konkreten Verarbeitung ab — nicht von der Unternehmensgröße allein.

Beispiel aus der Praxis

Ein KMU mit 12 Mitarbeitern nutzt ChatGPT Plus für Customer-Service-Anfragen. Tanja aus dem Team fragt sich: Darf sie Kundenemails (mit Namen, Telefonnummern) einfach in den Chatbot kopieren?

TOM schreibt vor: Das Unternehmen muss eine Datenschutz-Richtlinie haben, die klar regelt: (1) Welche Kundendaten dürfen in KI-Tools? Nur anonymisierte Tickets, keine E-Mail-Adressen. (2) Wer darf ChatGPT nutzen? Nur geschultes Team. (3) Wie lange speichert der KI-Anbieter Verläufe? Die Aufbewahrungsfristen variieren je nach Anbieter und Tarif und ändern sich regelmäßig — im AVV oder in den Nutzungsbedingungen nachsehen und dokumentieren. (4) Wie werden fehlerhafte Einträge gelöscht? Prozess schriftlich festhalten.

Technisch: Das Unternehmen muss sicherstellen, dass der ChatGPT-Account durch MFA geschützt ist, dass Passwörter sicher verwaltet werden. Organisatorisch: Mitarbeiter sollten regelmäßig zu Datenschutz und KI-Richtlinien geschult werden — Inhalt und Teilnahme sind zu dokumentieren.

Typische Anwendungsfälle

• KI-Tool-Einsatz: Richtlinien, welche Daten in Prompts dürfen (keine Kundennummern, keine Bankdaten, keine Patienteninformationen)
• Mitarbeiterzugriff: Rollenkonzept — wer darf Kundendaten sehen, nur Account-Manager oder auch Praktikanten?
• Datenpannen-Handling: Prozess für Meldungen an Aufsichtsbehörden (max. 72 Stunden nach Entdeckung)
• Löschkonzept: Regelmäßige Löschung alter Daten, z.B. Kundenverläufe nach 2 Jahren
• Drittanbieter: AVV mit KI-Anbietern, die Daten verarbeiten (z.B. Microsoft bei Copilot)
• Verschlüsselung in Transit: HTTPS überall, wo personenbezogene Daten übertragen werden
• Physische Sicherheit: Zugriffskontrolle zu Büroräumen mit Hardware
• Notfall-Recovery: Backups testen, um nach Cyberangriffen wiederherstellen zu können

DSGVO-Relevanz

Art. 32 DSGVO ist der Kern: Datenverantwortliche müssen unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der Risiken angemessene Maßnahmen treffen.

Konkret heißt das: Es gibt keine universelle Checkliste. Für bestimmte risikoreiche Verarbeitungen kann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein — z.B. beim Einsatz eines KI-Tools mit umfangreichem Profiling oder der Verarbeitung besonderer Datenkategorien. In der DSFA wird dokumentiert: Welche Risiken entstehen? Welche TOM reduzieren diese Risiken?

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Unternehmen müssen TOM jederzeit nachweisen können. Das bedeutet schriftliche Dokumentation — Datenschutz-Richtlinien, Schulungsunterlagen mit Teilnahmedokumentation, Logs von Systemupdates. Im Prüffall wird genau das abgefragt.

Im KI-Kontext: Falls ein KI-Anbieter als Auftragsverarbeiter tätig wird — d.h. Daten ausschließlich nach Weisung verarbeitet —, muss ein AVV vorliegen. Nicht jeder Anbieter ist automatisch Auftragsverarbeiter; manche verarbeiten Daten teilweise für eigene Zwecke. Der regelt, dass der Anbieter nur nach Weisung arbeitet, TOM einhält und Daten nicht für eigene Zwecke nutzt.

Verwandte Begriffe

• AVV (Auftragsverarbeitungsvertrag) — Vertrag zwischen Unternehmen und Dienstleister, der regelt, wie Daten verarbeitet werden
• Personenbezogene Daten — Alle Informationen, die eine Person identifizieren
• EU-US Data Privacy Framework (DPF) — Regelwerk für Datenüberträge in die USA
• Standardvertragsklauseln (SCCs) — Standardtexte der EU-Kommission für internationale Datenübermittlung
• LLM — KI-Modelle wie ChatGPT oder Claude, die Texte verstehen und generieren
• Datenschutz-Folgenabschätzung (DSFA) — Analyse, welche Risiken eine neue Datenverarbeitung mit sich bringt

Häufige Missverständnisse

“Wenn ich kein Passwort habe, bin ich nicht haftbar.” Falsch. Die fehlende Zugriffskontrolle ist selbst ein TOM-Verstoß. Gerade beim KI-Einsatz sind Standard-Passwörter und fehlende MFA fahrlässig.

“TOM sind nur für große Unternehmen relevant.” Falsch. Die DSGVO gilt auch für kleine Betriebe. Ein Zahnarzt mit digitalen Patientenakten muss genauso dokumentierte TOM haben wie ein Konzern — skaliert nach seinem Risiko.

“Cloud-Tools sind automatisch sicher, ich brauche keine eigenen TOM.” Teilweise falsch. Der Anbieter trifft TOM auf seiner Seite. Das Unternehmen muss aber zusätzlich organisatorische Maßnahmen treffen: Zugriffsrichtlinien, Schulungen, Prozesse zur Datenpannenmeldung.

“Eine Datenpannen-Versicherung ersetzt TOM.” Falsch. Im Schadensfall prüft die Versicherung genau, welche TOM das Unternehmen hatte. Unzureichende TOM können zur Leistungsablehnung führen.

Häufig gestellte Fragen

Welche TOM muss ein Einzelunternehmer mit Website haben? Mindestens: HTTPS auf der Website, sichere Verwaltung von Kundenlisten (verschlüsselter Laptop oder Cloud mit Passwortmanager), sichere Datenlöschung bei Projektende, schriftliche Notiz, dass diese Maßnahmen getroffen wurden. Ein AVV mit dem Website-Hoster ist ebenfalls sinnvoll.

Reicht eine einfache Passwort-Richtlinie als organisatorische Maßnahme? Nein, das ist nur ein kleiner Teil. Richtlinien sollten auch abdecken: wer darf welche Daten sehen, wie werden Mitarbeiter eingearbeitet und geschult, wie wird bei Austritt sichergestellt, dass Zugriffe gelöscht werden.

Ich habe einen Cloud-Anbieter mit DPF/SCCs — brauche ich noch eigene TOM? Ja. Der DPF/SCC regelt, dass Daten rechtskonform übermittelt werden. TOM sind Ihre zusätzlichen Sicherheitsmaßnahmen: Zugriffskontrolle, Schulung, Datenpannenprozesse.

Wie oft muss ich TOM überprüfen? Mindestens jährlich und immer, wenn sich die Verarbeitung ändert. Bei neuen KI-Tools, neuen Mitarbeitern oder sicherheitsrelevanten Vorfällen: sofort.

Muss der Datenschutzbeauftragte (DSB) die TOM dokumentieren? Der DSB unterstützt und kontrolliert, aber dokumentieren muss der Datenverantwortliche (z.B. die Geschäftsführung). Der DSB prüft, ob die Dokumentation vollständig und risikoangemessen ist.

Gibt es eine offizielle TOM-Checkliste der DSGVO? Nein. Die DSGVO nennt in Art. 32 Beispielmaßnahmen, schreibt aber keine einheitliche Liste für alle Unternehmen vor. Welche TOM ausreichend sind, hängt vom Risiko der jeweiligen Verarbeitung ab. Aufsichtsbehörden wie der BSI oder das BayLDA veröffentlichen praxisnahe Orientierungshilfen — aber keine verbindliche Checkliste.

Fazit

Technische und Organisatorische Maßnahmen sind keine lästige Compliance-Aufgabe — sie sind die Schutzschicht gegen Datenverluste, Diebstahl und Bußgelder. Art. 32 DSGVO schreibt vor, dass Maßnahmen zum Risiko passen und dokumentiert sein müssen. Besonders beim KI-Einsatz 2026 gilt: Wer Daten in OpenAI, Google oder Anthropic gibt, muss vorher überlegt haben, welche Daten das dürfen, wer Zugriff hat, wie lange Verläufe bleiben. Das ist TOM-Kernarbeit. Schreiben Sie es auf, schulen Sie Ihr Team, überprüfen Sie jährlich.

Passende Tooltests

• Claude (Anthropic)
• ChatGPT Plus

Weiterführende Begriffe

• Was ist ein AVV?
• Was sind personenbezogene Daten?
• Was ist das EU-US Data Privacy Framework (DPF)?
• Was sind Standardvertragsklauseln (SCCs)?
• Was ist ein Large Language Model (LLM)?